Так, статья 3 Федерального закона от 27.07.2006 N 152-ФЗ (ред. от 21.07.2014) «О персональных данных» (далее по тексту – ФЗ № 152-ФЗ) определяет, что персональные данные – это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
В том числе, к персональным данным гражданина относится и его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.
Согласно части 3 статьи 3 ФЗ № 152-ФЗ обработка персональных данных – это любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
2. Какие организации и зачем запрашивают у граждан персональные данные?
Персональные данные могут запрашивать практически любые государственные органы, муниципальные органы, юридические или физические лица, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными, в зависимости от того в какой орган (организацию) и с какой целью обращается гражданин.
Например, это может быть работодатель, банк, учреждение здравоохранения, контролирующие и правоохранительные органы, прокуратура.
В данном случае необходимо знать, что статья 9 ФЗ № 152 ФЗ определяет добровольный порядок субъекта персональных данных принимать решение о предоставлении его персональных данных и давать согласие на их обработку свободно, своей волей и в своем интересе.
Также необходимо знать, что согласие на обработку персональных данных может быть отозвано субъектом персональных данных.
3. Как должны храниться и защищаться персональные данные?
Обеспечение безопасности персональных данных достигается, в частности:
1) определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
2) применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
3) применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
4) оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
5) учетом машинных носителей персональных данных;
6) обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;
7) восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
8) установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
9) контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
Правительство Российской Федерации с учетом возможного вреда субъекту персональных данных, объема и содержания обрабатываемых персональных данных, вида деятельности, при осуществлении которого обрабатываются персональные данные, актуальности угроз безопасности персональных данных устанавливает:
1) уровни защищенности персональных данных при их обработке в информационных системах персональных данных в зависимости от угроз безопасности этих данных;
2) требования к защите персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;
3) требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных.
4. Какая ответственность грозит за передачу персональных данных третьим лицам?
Законодателем в данном случае предусмотрены все виды ответственности:
1) уголовная ответственность:
-статья 137 Уголовного кодекса РФ - нарушение неприкосновенности частной жизни (максимально возможное наказание (в зависимости от степени причиненного вреда), предусматривает лишением свободы на срок до пяти лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до шести лет);
-статья 272 Уголовного кодекса РФ - неправомерный доступ к компьютерной информации (максимально возможное наказание (в зависимости от степени причиненного вреда), предусматривает лишение свободы на срок до семи лет);
2) административная ответственность:
- статья 13.11 Кодекса Российской Федерации об административных правонарушениях (далее по тексту КоАП РФ) - нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (максимально возможное наказание предусматривает наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц - от пятисот до одной тысячи рублей; на юридических лиц - от пяти тысяч до десяти тысяч рублей);
- статья 13.12 КоАП РФ - нарушение правил защиты информации (максимально возможное наказание предусматривает наложение административного штрафа на граждан в размере от одной тысячи до одной тысячи пятисот рублей; на должностных лиц - от одной тысячи пятисот до двух тысяч пятисот рублей; на юридических лиц - от пятнадцати тысяч до двадцати тысяч рублей);
- статья 13.14 КоАП РФ - разглашение информации с ограниченным доступом (максимально возможное наказание предусматривает наложение административного штрафа на граждан в размере от пятисот до одной тысячи рублей; на должностных лиц - от четырех тысяч до пяти тысяч рублей).
3) материальная ответственность:
- часть 2 статьи 24 предусматривает возмещение морального вреда, причиненного субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных, а также требований к защите персональных данных.
5. Что делать, если персональными данными гражданина воспользовались против его воли?
В случае если третьи лица незаконно воспользовались персональными данными гражданина, в зависимости от степени причиненного гражданину вреда следует обращаться в правоохранительные органы, прокуратуру РФ, или в судебные органы для взыскания морального вреда.
6. Можно ли отказаться подписывать заявление об обработке своих персональных данных и чем это грозит?
Статья 9 ФЗ № 152 ФЗ определяет добровольный порядок субъекта персональных данных принимать решение о предоставлении его
персональных данных и давать согласие на их обработку свободно, своей волей и в своем интересе.
Также необходимо знать, что согласие на обработку персональных данных может быть отозвано субъектом персональных данных.
В большинстве случаев персональные данные необходимы для получения той или иной услуги (например, получение кредита в банке), и следовательно отказ от обработки персональных данных повлечет непредставление гражданину той или иной услуги.
Но в данном случае, если предоставление персональных данных является обязательным в соответствии с федеральным законом, оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные.
Также необходимо знать, что оператор не имеет право требовать излишние персональные данные.
Например, органы местного самоуправления при предоставлении гражданину муниципальной услуги о постановке на учет в качестве нуждающегося в улучшении жилищных условий не вправе требовать справку о состоянии здоровья, характеристику с места работы и т.п.
7. Что такое автоматизированная обработка персональных данных? Кто может распространять персональные данные?
Автоматизированная обработка персональных данных – это обработка персональных данных с помощью средств вычислительной техники.
Прежде всего, необходимо знать, что распространение персональных данных – это действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
Заместитель прокурора города С.А. Кузнецов